"Inżynieria społeczna w praktyce" - na to miano w pełni zasługuje jeden z ciekawszych pokazów, jaki odbył się w trakcie konferencji Defcon, poświęconej bezpieczeństwu IT. Celem konkursu były tak znane korporacje, jak Microsoft, Cisco Systems, Apple i Shell, a zadaniem uczestników - nakłonienie pracowników tych firm do przekazania określonych informacji.

Uczestnicy konkursu z łatwością zdobywali takie dane, jak nazwa i wersja przeglądarki internetowej wykorzystywanej przez pracowników danej firmy, nazwa programu do przeglądania dokumentów PDF, nazwa systemu operacyjnego (i ewentualnie - numer Service Packa), klient poczty elektronicznej, oprogramowanie antywirusowe, a nawet nazwa lokalnej sieci bezprzewodowej.

Metoda "na ankietera"

Pierwszy z uczestników konkursu, Australijczyk o imieniu Wayne (nazwiska wolał nie podawać do publicznej wiadomości) połączył się z call center jednej z dużych amerykańskich korporacji i przedstawił się jako ankieter firmy przeprowadzającej audyty. Poproszony o podanie danych identyfikacyjnych (numer pracownika) nie tylko zignorował tę prośbę, ale zasypał pracownika call center masą informacji, np. że musi szybko ukończyć audyt, bo szef nie daje mu spokoju.

W pewnym momencie skłonił nawet rozmówcę do wejścia na spreparowaną przez siebie stronę firmy, dla której rzekomo przeprowadzał audyt. Na koniec obiecał postawić pracownikowi call center piwo za udzieloną pomoc.

Australijczyk jest konsultantem ds. bezpieczeństwa, wyspecjalizowanym w inżynierii społecznej. Wieloletnie doświadczenie oraz fakt, że trafił na świeżego pracownika call center, znacznie ułatwiły mu zadanie.

Kolejny z uczestników konkursu, Shane MacDougall, zdecydował się ominąć call center i skontaktować się bezpośrednio z administratorami obranej za cel firmy. Podał się za ankietera przeprowadzającego badanie dla magazynu CSO.

Za pierwszym razem nie powiodło mu się - osoba, z którą rozmawiał, odmówiła podania informacji, o jakie prosił. Potem miał więcej szczęścia, ponieważ trafił na pracownika kontraktowego, zatrudnionego w koncernie od dwóch miesięcy. Najpierw "zmiękczył" go pytaniami o ogólne zadowolenie z pracy i jakość pożywienia w firmowej stołówce, po czym przypuścił atak.

Rezultat? Windows XP Service Pack 3, McAfee VirusScan 8.7, Outlook 2003, Internet Explorer 6 - programy używane w firmie, do której zadzwonił.

FBI zainteresowane konkursem

Uczestnicy pokazu, posadzeni w dźwiękoszczelnej kabinie, mieli 25 minut na wydobycie interesujących ich informacji. Zasady konkursu zabraniały uczestnikom wyłudzania wrażliwych informacji lub "atakowania" wybranych organizacji (m.in. urzędów administracji publicznej i instytucji finansowych). Mimo to, pokaz i tak wywołał sporo kontrowersji, nawet zanim jeszcze się rozpoczął. Z jednym z organizatorów skontaktowało się nawet Federalne Biuro Śledcze, domagając się informacji, co tak naprawdę jest celem konkursu.

Czy można rozpoznać atak socjotechniczny?

Odpowiedź brzmi "tak", ale nie jest to wcale takie łatwe, nawet dla doświadczonych użytkowników czy pracowników działów IT. Inżynieria społeczna to jedna z najskuteczniejszych metod ataków przypuszczanych na firmy i osoby prywatne - jej efektywność musi się więc skądś brać.

Więcej informacji: Social-engineer.org